基于內(nèi)網(wǎng)行為分析的未知攻擊檢測模型

2016-09-23 06:22:16俞藝涵付鈺吳曉平

網(wǎng)絡(luò)與信息安全學(xué)報(bào) 2016年6期

關(guān)鍵詞：內(nèi)網(wǎng)有向圖手段

俞藝涵，付鈺，吳曉平

（海軍工程大學(xué)信息安全系，湖北武漢 430033）

基于內(nèi)網(wǎng)行為分析的未知攻擊檢測模型

俞藝涵，付鈺，吳曉平

（海軍工程大學(xué)信息安全系，湖北武漢 430033）

日益增多的未知攻擊手段對內(nèi)網(wǎng)造成安全威脅，提出了一種基于內(nèi)網(wǎng)行為分析的未知攻擊手段檢測模型。借助對內(nèi)網(wǎng)信息資源充分可知的優(yōu)勢，首先，收集內(nèi)網(wǎng)信息資源資料；然后，分析內(nèi)網(wǎng)信息節(jié)點(diǎn)的行為異常風(fēng)險(xiǎn)要素；最后，以信息節(jié)點(diǎn)與信息資源獲取路徑為要素構(gòu)建檢測有向圖模型。通過驗(yàn)證，該模型可以達(dá)到預(yù)期的檢測效果。

內(nèi)網(wǎng)行為；未知攻擊；有向圖；檢測模型

1　引言

內(nèi)網(wǎng)的安全性一直被人們廣泛關(guān)注，現(xiàn)有的內(nèi)網(wǎng)安全防御技術(shù)在日益復(fù)雜多樣的網(wǎng)絡(luò)攻擊手段面前，顯現(xiàn)出不能全方位以及長時(shí)間跨度內(nèi)保證內(nèi)網(wǎng)安全的情況。近年來，發(fā)生的許多信息安全事件都是與內(nèi)部網(wǎng)絡(luò)相關(guān)的，特別是日益猖獗的APT（advanced persistent threat）攻擊［1，2］，往往是針對一些蘊(yùn)含信息價(jià)值高的內(nèi)網(wǎng)實(shí)施的。

對已知網(wǎng)絡(luò)攻擊手段的檢測技術(shù)相對成熟，現(xiàn)階段急需解決的是如何對那些未知的攻擊手段進(jìn)行入侵檢測［3，4］。通過分析發(fā)現(xiàn)，任何對于內(nèi)網(wǎng)的攻擊，在實(shí)施的過程中，難免都會(huì)引起內(nèi)網(wǎng)中網(wǎng)絡(luò)行為特征的一些變化，這些變

圖1　未知攻擊有向圖模型建立流程

4　未知攻擊檢測模型原理性驗(yàn)證

5）建立入侵檢測有向圖

為了對模型進(jìn)行原理性驗(yàn)證，本文在實(shí)驗(yàn)室安全內(nèi)網(wǎng)環(huán)境中模擬一種未知的網(wǎng)絡(luò)攻擊手段對內(nèi)網(wǎng)進(jìn)行攻擊的過程。為了仿真體現(xiàn)出網(wǎng)絡(luò)攻擊手段的未知性，本文著重設(shè)置了幾個(gè)信息節(jié)點(diǎn)的異常風(fēng)險(xiǎn)因素，來模擬未知攻擊手段造成的內(nèi)網(wǎng)網(wǎng)絡(luò)中的異常。相關(guān)系統(tǒng)環(huán)境設(shè)置如表1所示。

表1　模擬環(huán)境設(shè)置

根據(jù)未知攻擊檢測有向圖建立的過程可知，該驗(yàn)證環(huán)境中最長的信息資源獲取路徑為所仿真的情況為內(nèi)網(wǎng)操作者由于操作失誤，使操作權(quán)限擴(kuò)大，被Windows計(jì)算機(jī)1利用、進(jìn)行頻繁掃描，使通過路由器1流量增加；Windows計(jì)算機(jī)2通過修改源IP地址獲取相關(guān)信息并由交換機(jī)1傳出。

若在未知攻擊檢測的過程中，設(shè)置異常參數(shù)為 2，則其信息資源獲取路徑分別為和，4條路徑的相關(guān)性為0，與）的匹配程度也很低，很難判斷內(nèi)網(wǎng)是否遭受了未知攻擊；如果設(shè)置異常參數(shù)為 5，可以得到一條完整的信息資源獲取路徑與）匹配，可以判定內(nèi)網(wǎng)遭受了網(wǎng)絡(luò)攻擊。

可以看出，未知攻擊檢測有向圖模型可以通過網(wǎng)絡(luò)中異常行為來判斷是否遭受網(wǎng)絡(luò)攻擊，并不需要事先知道攻擊的方式，對于未知攻擊檢測是有效的。有向圖模型對未知攻擊檢測的一個(gè)關(guān)鍵性因素為在獲取內(nèi)網(wǎng)異常特征時(shí)的異常參數(shù)設(shè)置，異常參數(shù)設(shè)置越大，其對入侵檢測的準(zhǔn)確性越高，但是其檢測過程中的匹配開銷也越大［6，7］；另一方面，內(nèi)網(wǎng)信息節(jié)點(diǎn)中可利用進(jìn)行信息資源獲取的異常風(fēng)險(xiǎn)因素越多，檢測時(shí)的信息資源獲取路徑構(gòu)建就越復(fù)雜，檢測的效果將降低。

由以上分析可知，利用基于內(nèi)網(wǎng)行為分析的未知攻擊檢測有向圖模型進(jìn)行內(nèi)網(wǎng)未知攻擊檢測分析的有效性和檢測開銷與檢測時(shí)的異常參數(shù)成正比，與信息節(jié)點(diǎn)異常風(fēng)險(xiǎn)因素成反比。

5　結(jié)束語

針對日益增多的未知網(wǎng)絡(luò)攻擊手段，本文通過分析當(dāng)前內(nèi)網(wǎng)安全防護(hù)需求，以及整合內(nèi)網(wǎng)在應(yīng)對網(wǎng)絡(luò)攻擊時(shí)所擁有的資源，提出了一種基于內(nèi)網(wǎng)行為分析的未知攻擊檢測有向圖模型。經(jīng)過原理性驗(yàn)證，該模型能夠滿足內(nèi)網(wǎng)入侵檢測需求，

達(dá)到了預(yù)期效果。然而，在網(wǎng)絡(luò)攻擊手段越來越復(fù)雜，越來越多樣的今天，內(nèi)網(wǎng)的信息安全防護(hù)不可能僅僅依靠單一的技術(shù)，本文所提的應(yīng)對未知攻擊的入侵檢測模型可作為入侵檢測的一個(gè)方面，為后續(xù)研究起拋磚引玉的作用。

［1］CHEN P， DESMET L， HUYGENS C. A study on advanced persistent threats［M］// Communications and Multimedia Security. Berlin Heidelberg：Springer， 2014：63-72.

［2］付鈺，李洪成，吳曉平，等. 基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述［J］. 通信學(xué)報(bào)， 2015， 36（11）： 1-14. FU Y， LI H C， WU X P， et al. Detecting APT attacks：a survey from the perspective of big data analysis［J］. Journal on Communications，2015， 36（11）：1-14.

［3］NIKOS V， DIMITRI G. The big four—what we did wrong in advanced persistent threat detection ［C］// International Conference on Availability， Reliability and Security. c2013：248-254.

［4］YANG G M Z， TIAN Z H，DUAN W L. The prevent of advanced persistent threat［J］. Journal of Chemical and Pharmaceutical Research， 2015， 6（1）： 572-576.

［5］楊文君. 基于有向圖的數(shù)據(jù)流模式發(fā)現(xiàn)算法研究［D］. 秦皇島：燕山大學(xué)， 2014. YANG W J. Research on data stream pattern discovery algorithm based on directed graph［D］. Qinhuangdao： Yanshan University， 2014.

［6］楊蕊. 基于定量知識(shí)的分層有向圖故障診斷方法及其應(yīng)用［D］.太原：太原理工大學(xué)， 2014. YANG R. Fault diagnosis method based on hierarchical directed graph with quantitative knowledge and its application［D］. Taiyuan：Taiyuan Institute of Technology， 2014.

［7］高東，許欣，馬昕，等. 基于符號(hào)有向圖與趨勢分析的故障診斷框架［J］. 計(jì)算機(jī)工程與應(yīng)用， 2014（13）：6-9. GAO D，XU X，MA X， et al. Fault diagnosis framework based on sign directed graph and trend analysis［J］.Computer Engineering and Applications， 2014（13）：6-9.

Unknown attack detection model based on network behavior analysis

YU Yi-han， FU Yu， WU Xiao-ping

（Department of Information Security， Naval University of Engineering， Wuhan 430033， China）

As for the intranet security threats of the increasing number of unknown attacks，an unknown attack detection model based on network behavior analysis was proposed. With the help of the information resources within the intranet， firstly， the information resources of the intranet were collected， then the risk factors of abnormal behavior of the internet information node were analyzed， finally， the information node and the information resources acquisition path as the key element were used to construct the detection model of the directed graph. By verifying， the model can achieve the desired detection results.

intranet behavior， unknown attacks， directed graph， detection model

TP309.7

10.11959/j.issn.2096-109x.2016.00058

2016-03-04；

2016-04-17。通信作者：俞藝涵，chenyike1992@163.com

國家自然科學(xué)基金資助項(xiàng)目（No.61100042）；湖北省自然科學(xué)基金資助項(xiàng)目（No.2015CFC867）；信息保障技術(shù)國防重點(diǎn)實(shí)驗(yàn)室基金資助項(xiàng)目（No.KJ-13-111）

Foundation Items： The National Natural Science Foundation of China （No.61100042）， The Natural Science Foundation of Hubei Province （No.2015CFC867）， The National Defense Key Laboratory of Information Security Technology （No.KJ-13-111）

對于信息資源獲取路徑S中的某一條路徑?如果不存在信息資源節(jié)點(diǎn)?，則如果存在?滿足即信息資源獲取路徑?存在圈，則?

俞藝涵（1992-），男，浙江金華人，海軍工程大學(xué)碩士生，主要研究方向?yàn)樾畔⑾到y(tǒng)安全。

付鈺（1982-），女，湖北武漢人，博士，海軍工程大學(xué)副教授，主要研究方向?yàn)樾畔踩L(fēng)險(xiǎn)評(píng)估。

吳曉平（1961-），男，山西新絳人，博士，海軍工程大學(xué)教授，主要研究方向?yàn)橄到y(tǒng)分析與決策。

国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

基于內(nèi)網(wǎng)行為分析的未知攻擊檢測模型

1 引言

4 未知攻擊檢測模型原理性驗(yàn)證

5 結(jié)束語

1　引言

4　未知攻擊檢測模型原理性驗(yàn)證

5　結(jié)束語